Oracle Cloudデータベースのデータベース管理プライベート・エンドポイントの作成

プライベート・エンドポイントを作成して、ベース・データベース・サービス、ExaDB-DまたはExaDB-XSでデータベース管理をOracle Cloudデータベースに接続できます。

ノート

このトピックの情報は、ベース・データベース・サービスのOracle Cloudデータベース(ExaDB-DおよびExaDB-XS)にのみ適用され、ExaDB-C@CのOracle Cloudデータベースには適用されません。

プライベート・エンドポイントは、Oracle CloudデータベースにアクセスできるVCN内のデータベース管理を表したもので、選択したサブネット内でプライベートIPアドレスを持つVNICとして機能します。VCNで作成されたプライベート・エンドポイントを使用して、同じVCN内で使用可能なOracle Cloudデータベースのデータベース管理診断および管理を有効にでき、複数のVCN間では使用できません。プライベート・エンドポイントは、Oracle Cloudデータベースと同じサブネット上にある必要はありませんが、Oracle Cloudデータベースと通信できるサブネットである必要があります。

データベース管理では、次のタイプのプライベート・エンドポイントを作成できます:

  • 単一インスタンスOracle Cloudデータベースのプライベート・エンドポイント: ベース・データベース・サービス内の単一インスタンスOracle Cloudデータベースに接続するために、テナンシに(リージョンごとに)最大7つのデータベース管理プライベート・エンドポイントを作成できます。単一のプライベート・エンドポイントを使用して診断および管理を有効にできる単一インスタンス・データベースの数に制限はありません。単一インスタンスOracle Cloudデータベースのプライベート・エンドポイントは、1つのプライベートIPアドレスのみを持ちます。
  • RAC Oracle Cloudデータベースのプライベート・エンドポイント: テナンシに3つのデータベース管理プライベート・エンドポイント(リージョン当たり)を作成して、ベース・データベース・サービスのRAC Oracle Cloudデータベースに接続できます(ExaDB-DおよびExaDB-XS)。RAC Oracle Cloudデータベースのプライベート・エンドポイントは、2つのプライベートIPアドレスを持ちます。

VCNには、各タイプのプライベート・エンドポイントを1つ作成できます。つまり、単一インスタンス・データベース用とRACデータベース用に1つずつプライベート・エンドポイントを作成できます。テナンシ内の7つのシングル・インスタンス・プライベート・エンドポイントおよび3つのRACプライベート・エンドポイントのデフォルト制限よりも多くのプライベート・エンドポイントが必要な場合は、プライベート・エンドポイント制限の拡大をリクエストできます。詳細は、Oracle Cloudデータベースの診断および管理を有効にする際に発生するエラーを参照してください。

次の図は、データベース管理プライベート・エンドポイントがOracle Cloudデータベースと通信する方法の概要を示しています。


データベース管理プライベート・エンドポイント

プライベート・エンドポイントの詳細は、プライベート・エンドポイントについてを参照してください。

VCNでデータベース管理プライベート・エンドポイントを作成する前に、Oracle Cloud Infrastructureの仮想ネットワーキング・リソースを使用するために必要な権限を取得し、データベース管理プライベート・エンドポイントを作成する必要があります。詳細は、Oracle Cloudデータベースの診断および管理を有効にするために必要な権限を参照してください。

データベース管理プライベート・エンドポイントを作成するには:

  1. Oracle Cloud Infrastructureコンソールにサインインします。
  2. ナビゲーション・メニューを開き、「オブザーバビリティおよび管理」をクリックします。「データベース管理」で、「管理」をクリックします。
  3. 左ペインで、「プライベート・エンドポイント」をクリックします。
  4. 「プライベート・エンドポイント」ページで、「プライベート・エンドポイントの作成」をクリックします。
  5. 「プライベート・エンドポイントの作成」パネルで:
    1. 次の詳細を入力します。
      1. 名前: プライベート・エンドポイントの名前を入力します。
      2. 説明: オプションで、プライベート・エンドポイントの説明を入力します。
      3. コンパートメント: プライベート・エンドポイントを配置するコンパートメントを選択します。デフォルトでは、プライベート・エンドポイント・ページで選択したコンパートメントが表示されますが、ドロップダウン・リストで別のコンパートメントを選択できます。
      4. 仮想クラウド・ネットワーク: 仮想クラウド・ネットワーク・コンパートメントを選択し、Oracle CloudデータベースにアクセスできるVCNを選択します。
      5. サブネット: サブネット・コンパートメントを選択し、選択したVCN内のサブネットを選択します。新しいデータベース管理プライベート・エンドポイントが単一インスタンス用の場合は、選択したサブネット内で2つのプライベートIPアドレスが使用され、RAC Oracle Cloudデータベース用の場合は3つのプライベートIPアドレスが使用されます。サブネットはVCNとは異なるコンパートメントに配置できますが、VCN内のデータベース・サブネットにアクセスできる必要があります。
      6. ネットワーク・セキュリティ・グループ: オプションで、「ネットワーク・セキュリティ・グループを使用したトラフィックの制御」をオンにして、仮想マシンDBシステムまたはExadata VMクラスタに追加されたNSGを選択します。「+別のセキュリティ・グループ」をクリックして、別のNSGを選択することもできます。
        ノート

        DBシステムまたはVMクラスタ内の既存のNSGをデータベース管理プライベート・エンドポイントに関連付けるオプションを使用すると、プライベート・エンドポイントがデータベースにアクセスできるようになります。NSGを使用して、データベース管理プライベート・エンドポイントとOracle Cloudデータベースの間の通信を有効にするイングレスおよびエグレス・セキュリティ・ルールを追加できます。NSGの詳細は、ネットワーク・セキュリティ・グループを参照してください。
      7. タグ: オプションで、データベース管理プライベート・エンドポイントにフリーフォーム・タグまたは定義済タグを追加します。データベース管理プライベート・エンドポイントの作成に必要な権限がある場合、フリーフォーム・タグを追加する権限もあります。定義済タグを追加するには、タグ・ネームスペースを使用する権限が必要です。

        詳細は、次を参照してください:

      8. セキュリティ属性: オプションで、プライベート・エンドポイントにセキュリティ属性を追加します。「セキュリティ属性の追加」をクリックし、セキュリティ属性ネームスペース、キーおよび値を指定します。セキュリティ属性の詳細は、後述の「プライベート・エンドポイントのセキュリティ属性の管理」を参照してください。
    2. 「作成」をクリックします。
VCNにデータベース管理プライベート・エンドポイントが作成されます。これを使用して、Oracle Cloudデータベースの診断および管理を有効にできます。

データベース管理プライベート・エンドポイントの詳細を表示するには、その名前をクリックします。「プライベート・エンドポイントの詳細」ページでは、次のことができます:

  • 関連付けられたVCNやサブネット、およびデータベース管理プライベート・エンドポイントに割り当てられたプライベートIPアドレスなどの詳細を表示します。セキュリティ・ルールを構成するには、プライベートIPアドレス情報が必要です。
  • 「詳細」タブの「データベース」セクションで、関連付けられたデータベースを表示します。
  • 「作業リクエスト」タブで、プライベート・エンドポイントに関連する作業リクエストをモニターします。特定の作業リクエストをクリックすると、作業リクエスト情報、ログ・メッセージおよびエラー・メッセージ(ある場合)を表示できます。
  • 「タグ」タブで、タグ関連タスクを実行します。

プライベート・エンドポイントのセキュリティ属性の管理

オプションで、Zero Trust Packet Routing (ZPR)セキュリティ属性をプライベート・エンドポイントに追加して、ZPRポリシーを介したアクセスを制御できます。ZPRは、これらの属性を既存のネットワーク・コントロールとともに評価します。

セキュリティー属性およびZPRの詳細は、Security Attributesおよび Overview of Zero Trust Packet Routingを参照してください。

ノート

プライベート・エンドポイントにセキュリティ属性を追加する場合は、必要なZPRポリシーが設定されていることを確認してください。そうしないと、目的のトラフィックをブロックできます。

設定

プライベート・エンドポイントにセキュリティ属性を追加する前に、必要なZPR設定を完了し、ネットワーク構成で目的のトラフィックが許可されていることを確認します。

  1. 必要なIAM権限、セキュリティ属性ネームスペース、セキュリティ属性およびZPRポリシーがすでに構成されていることを確認します。詳細は、Zero Trust Packet Routing IAMポリシーセキュリティ属性およびZero Trust Packet Routingポリシーを参照してください。
  2. 適用可能なZPRポリシーが目的のトラフィックを許可するように、プライベート・エンドポイントに追加するセキュリティ属性を決定します。

重要な考慮事項

  • 管理者は、ユーザーがプライベート・エンドポイントにセキュリティ属性を適用する前に、テナンシにセキュリティ属性ネームスペースおよびセキュリティ属性を設定する必要があります。
  • セキュリティ属性を使用すると、プライベート・エンドポイントへのアクセスは、セキュリティ・リストやNSGなどの既存のネットワーク制御とともにZPRポリシーによって管理されます。
  • セキュリティ属性は、適切なZPRポリシーが定義されている場合にのみ有効です。対応するポリシーなしでセキュリティ属性を追加した場合、NSGまたはセキュリティ・リストがトラフィックを許可しなくても、プライベート・エンドポイントへのアクセスはデフォルトで拒否されます。
  • 最大3つのセキュリティ属性をプライベート・エンドポイントに追加できます。使用する属性がわからない場合は、ネットワーク管理者に連絡してください。

セキュリティ属性の追加

セキュリティ属性は、プライベート・エンドポイントの作成時に追加することも、プライベート・エンドポイントの作成後に「プライベート・エンドポイントの詳細」ページから追加することもできます。

「プライベート・エンドポイントの詳細」ページからセキュリティ属性を追加するには:

  1. プライベート・エンドポイントの「プライベート・エンドポイント詳細」ページに移動します
  2. 「セキュリティ」タブの「セキュリティ属性」セクションで、「追加」をクリックします。
  3. セキュリティ属性ネームスペース、キーおよび値を指定します。
  4. 「セキュリティ属性の追加」をクリックします。

セキュリティ属性のリスト

プライベート・エンドポイントに追加されたセキュリティ属性を表示するには、プライベート・エンドポイントの「プライベート・エンドポイントの詳細」ページに移動し、「セキュリティ」タブをクリックします。「セキュリティ属性」セクションには、プライベート・エンドポイントに追加されたセキュリティ属性がリストされます。